El creciente panorama de las amenazas ha cambiado el papel del oficial jefe de seguridad de la información en el último decenio. He aquí por qué esta posición y su evolución son vitales en la empresa moderna.
Más para CXOs
La rápida expansión del panorama de las amenazas de la ciberseguridad ha llevado al director de seguridad de la información (CISO) fuera del sótano y a la sala de juntas de muchas empresas. Si bien tradicionalmente se consideraba que estos profesionales de la tecnología eran los encargados de hacer cumplir la ley, ahora se han sentado a la mesa como estrategas que ayudan a la empresa a evitar la ciberdelincuencia.
«El papel del CISO ha cambiado de ser un simple tecnólogo a entender lo que el negocio está tratando de hacer, y asegurarse de que la seguridad sea parte de la estrategia del negocio, y no una ocurrencia tardía», dijo Steve Martino, CISO y vicepresidente de seguridad de la información de Cisco. Un estudio de Cisco de 2019 reveló que los líderes empresariales de hoy en día creen que la ciberseguridad es uno de los principales factores de crecimiento, lo que refuerza la necesidad de que los responsables de la seguridad piensen cada vez más en términos empresariales.
Las amenazas cibernéticas han cambiado drásticamente en la última década en términos de sofisticación y volumen, dijo Martino. Ese cambio ha sido impulsado por dos factores: Las organizaciones están cada vez más conectadas a través de la Internet de los objetos (IO), y los ciberdelincuentes están pasando de hacer declaraciones políticas a la ciberdelincuencia como negocio.
Este panorama cambiante y la responsabilidad añadida significa que los CISOs necesitan desarrollar un nuevo conjunto de habilidades sociales, incluyendo el aprendizaje de cómo hablar con una línea de líderes empresariales sobre el riesgo, la privacidad, la experiencia del usuario, y el equilibrio entre la compensación de la seguridad y las características.
VER: Gestión de riesgos: Habilitar el negocio (Tech Pro Research)
«Hace cinco o diez años, los C-suite realmente no tenían una relación o un diálogo con el equipo o líder de seguridad de la información», dijo Martino. «Hoy, lo hacemos. Para ser efectivo, hay que tener este contexto de negocios, y ser capaz de tener un diálogo de negocios con muchos líderes funcionales diferentes».
Esto significa entender cuáles son las prioridades de las diferentes partes del negocio (finanzas, ventas, marketing, etc.) y ser capaz de traducir los temas de riesgo a su idioma.
«Los CISOs necesitan tener ese conocimiento de negocios y capacidad multilingüe para poder traducir lo que se intenta transmitir en términos de riesgo para el dueño del negocio», dijo Martino. «Ambos deben ser efectivos a la velocidad de los negocios, y ganarse el respeto y la confianza requeridos.»
Desarrollo de nuevas habilidades
La capacitación es útil para los CISO que han sido llamados a reportarse a la C-suite por primera vez, dijo Gary Hayslip, un experto de ISACA en ciberseguridad, el ex CISO de la Ciudad de San Diego, y el actual CISO de Webroot. «Es una visión diferente del riesgo y del uso de los recursos y los costos», dijo. «Tienes que empezar a meterte en la estrategia de adónde va la organización.»
Hayslip recomienda encontrar a otro miembro de C-suite que haya informado a la junta antes, y asociarse con ellos para aprender cómo proceden las reuniones de la junta, y cómo son los miembros individuales de la junta, qué buscan como grupo, y cómo procesan la información.
«Si usted es un CISO que se ocupa de la C-suite y es relativamente nuevo para usted, no se asuste, pregunte a un mentor para que pueda empezar a aprender sobre lo que buscan, de modo que se asegure de que cuando informe a una junta, la información que está presentando sea relevante para la discusión», dijo Hayslip.
Es clave recordar que el CISO no es dueño del riesgo, el negocio sí, dijo el analista de Forrester Jeff Pollard. «Los CISOs ahora están transfiriendo la propiedad de los riesgos a las unidades de negocio», dijo Pollard. «En lugar de que el CISO posea el poder de detener el negocio, está asesorando y entrenando a los líderes de las unidades de negocio sobre los riesgos y las ramificaciones de seguridad de las decisiones, pero el negocio es dueño del riesgo y toma las decisiones».
En lugar de convertirse en una barrera, este nuevo modelo permite a los CISO trabajar con sus colegas, en lugar de hacerlo en contra de ellos, dijo Pollard.
VEA: 5 razones por las que su empresa no puede contratar a un profesional de la ciberseguridad, y qué puede hacer para solucionarlo (ConsejoTecnologico.com)
Sin embargo, el CISO necesita ser flexible, y entender que el sistema de seguridad establecido debe ser resistente. «Vas a tomar brechas», dijo Hayslip. «No hay una red totalmente segura. Si se tiene en cuenta esto, se puede empezar a ver dónde están los riesgos, cómo están entrenados los equipos y qué políticas se aplican».
Si el CISO está abrumado con proyectos, puede ser útil determinar a qué departamentos sirve, quiénes son las partes interesadas y qué es crítico para ellos, dijo Hayslip. Esto le ayudará a crear una lista más estrecha de temas a abordar. A menudo es prudente comenzar con la higiene cibernética, agregó: si tiene políticas de seguridad básicas y administración de parches, antivirus y firewalls instalados, actualizados y administrados, se crea una base sólida para la salud cibernética de su organización.
Los CISOs también tienen la oportunidad de redefinir su papel como estrategas de negocios durante la transformación digital, dijo Pollard. Para demostrar su valor, deben dedicar tiempo a mapear los puntos de contacto tecnológicos de la empresa, fomentar a los campeones de la seguridad en toda la empresa y participar en actividades orientadas al cliente como el diseño y desarrollo de productos, agregó.
«Estamos en esta transición como industria, de ser un tecnólogo y un protector a ser un facilitador de negocios», dijo Martino. «Para cruzar esa brecha, el CISO tiene que ganarse un lugar en la mesa, aportando relevancia al negocio y ayudando al negocio a alcanzar sus objetivos más rápido.»
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves